お世話様になります。
タイトルにもありますが、複数のIPアドレスを持つレコードから任意のIPアドレスを抽出して位置情報に変換する方法について教えてください。
対象レコード(例)
Jan 31 13:42:43 192.168.xx.xx [AA:AA:AA:AA:AA:AA] Gatekeeper : FIREWALL: TCP connection denied from 192.168.yy.yy:64085 to 54.68.zz.zz:80
これに対して以下の名称でフィールドを追加
srcIP = 192.168.yy.yy
dstIP = 54.68.zz.zz
dstIPは統計で100個以上のアドレスを検出しています。
このdstIPを位置情報に変換してGoogleMap等に表示しようと考えています。
サーチ分①
sourcetype=syslog dstIP="*" | geoip
結果①
geoipは、192.168.xx.xxとなり表示されない。
サーチ分②:余計なフィールドを消せばいいのか?と考え
sourcetype=syslog dstIP="*" | fields - host , source ,splunk_server | geoip
結果②
geoipは、192.168.xx.xxとなり表示されない。
サーチ分③geoipにフィールドを渡せばいいか?と考え
sourcetype=syslog dstIP="*" | geoip dstIP
結果③
サーチの結果では統計情報として位置情報(geo_cityなど)が出るようになったが
GoogleMAPSでは表示されない
チュートリアル用のsecure.logでは、source="secure.log" Failed | geoip で何も問題なく動作しているので
データの渡し方に問題があると認識していますが、分かりません。
geostatsでも構いませんが、対応方法をご教授頂きたく存じます。
... View more